// vulnerability research
Vulnerability research for AI-built websites and apps.
Source-grounded notes on vulnerabilities that matter to AI-generated web apps, BaaS stacks, frontend bundles, auth, and dependency security.
nisqa SQL Inyección Fantasma Contenido kaqpi API (CVE-2026-26980) kaqpi
nisqa ZXCVFIXVIBESEG2 nisqa Ghost 3.24.0 kaqmanta 6.19.0 kaqkama huk sinchi SQL inyección mana allin ruwayniyuq kanku kay Contenido API kaqpi. Kayqa mana chiqaqchasqa atacadores kaqman munasqa SQL kamachiykunata ruwayta saqin, atiyniyuq willayta exfiltración kaqman utaq mana kamachisqa tikraykunaman pusayta.
Llapan research
34 articles
nisqa Karumanta Código Ejecución SPIP kaqpi Etiquetas de Plantilla kaqnintakama (CVE-2016-7998)
nisqa ZXCVFIXVIBESEG2 nisqa SPIP 3.1.2 chaymanta ñawpaq kaq layakuna huk mana allin ruwayniyuq kanku plantilla ruwaqpi. Chiqapchasqa atacadores HTML willakuykunata ruwasqa INCLUDE utaq INCLURE etiquetakunawan yapayta atinku munasqa PHP codigo servidorpi ruwanankupaq.
nisqa ZoneMinder Apache Wakichiy Willayta Willakuy (CVE-2016-10140) .
nisqa ZXCVFIXVIBESEG2 nisqa ZoneMinder 1.29 chaymanta 1.30 layakuna huk huñusqa Apache HTTP Server pantasqa wakichiywan afectasqa kanku. Kay pantayqa karu, mana chiqaqchasqa atacadores web saphi directorio maskayta saqin, atikunman sensibles willayta willayta chaymanta chiqaqchay bypass kaqman pusayta.
nisqa Next.js Waqaychasqa umalliq pantasqa wakichiy next.config.js kaqpi
nisqa ZXCVFIXVIBESEG2 nisqa Next.js ruwanakuna next.config.js kaqwan umalliq kamachiypaq llamk'achkanku, harkasqa ch'usaq kaqkunaman suceptible kanku sichus ñan-t'inkisqa ruwanakuna mana chiqanchu kanku. Kay maskayqa imayna comodín chaymanta regex pantasqa ruwanakuna chinkasqa harkasqa umalliqkunaman sensitivo ñankunapi pusanku chaymanta imayna ruwayta sinchiyachiyta maskan.
nisqa Mana allin Waqaychasqa Umayuq Wakichiy
nisqa ZXCVFIXVIBESEG2 nisqa Web ruwanakuna sapa kuti mana ruwayta atinkuchu ancha chaniyuq harkasqa umalliqkunata, ruwaqkunata chimpa kiti scripting (XSS), clickjacking chaymanta willayta inyección kaqwan riqsichisqa saqispa. Web harkasqa kamachiykunata takyasqa qatispa chaymanta MDN Observatorio hina auditoría yanapakuykunata llamk'achispa, ruwaqkuna ruwanankuta anchata sinchiyachiyta atinku común maskaqpi ruwasqa ataques kaqmanta.
nisqa OWASP 10 aswan hatun riesgokuna usqaylla Web wiñachiypi pisiyachiy
nisqa ZXCVFIXVIBESEG2 nisqa Indie hackers chaymanta huch'uy equipokuna sapa kuti sapalla harkakuy sasachakuykunawan tinkunku utqaylla apachiypi, aswanta AI-wan ruwasqa código kaqwan. Kay maskayqa kuti kuti riesgokunata CWE Top 25 chaymanta OWASP categoríakunamanta riqsichin, chaymanta p'akisqa yaykuy kamachiy chaymanta mana waqaychasqa ruwanakuna, huk cimientota qun makiwan ruwasqa harkakuy qhawaykunapaq.
nisqa AI-manta ruwasqa ruwanakunapi mana waqaychasqa HTTP umalliq ruwanakuna
nisqa ZXCVFIXVIBESEG2 nisqa AI yanapakuqkunamanta ruwasqa ruwanakuna sapa kuti mana HTTP harkasqa umalliqkuna ancha chaniyuqchu kanku, kunan pacha harkasqa kamachiykunata mana hunt'ankuchu. Kay saqisqa web ruwanakunata saqillan común cliente-lado ataques kaqpaq. Mozilla HTTP Observatory hina benchmarkkuna llamk'achispa, ruwaqkuna chinkasqa harkaykuna riqsichiyta atinku kayhina CSP chaymanta HSTS ruwanankupa harkasqa kayninta allinchaypaq.
nisqa Chimpapurasqa Scripting (XSS) mana allin kaqkunata tariy chaymanta harkay
nisqa ZXCVFIXVIBESEG2 nisqa Cross-Site Scripting (XSS) ruwakun mayk'aq huk ruwana mana atisqa willayta huk web p'anqapi mana allin chiqaqchay utaq codificación kaqwan churan. Kayqa atacadores mana allin scriptkuna ruwayta saqillan chaymanta chay victimapa maskaqninpi, sesión secuestroman, mana kamachisqa ruwaykunaman chaymanta sensibles willayta rikuchiyman pusaq.
nisqa LiteLLM Proxy SQL Inyección (CVE-2026-42208) nisqa.
nisqa ZXCVFIXVIBESEG2 nisqa Huk sinchi SQL inyección mana allin ruway (CVE-2026-42208) LiteLLM kaqpa proxy componente kaqninpi atacadores chiqaqchayta muyuriyta utaq sensibles willaypa tiyapuynin willayman yaykuyta saqin API llave chiqaqchay ruwayta llamk'achispa.
nisqa Vibe Codificación kaqmanta Seguridad Riesgokuna: AI-manta ruwasqa Código auditoría
nisqa ZXCVFIXVIBESEG2 nisqa ‘vibe codificación’ wichariynin —runakuna ruway ñawpaqta usqhayta AI tapuywan— riesgokunata riqsichin kayhina sinchi codificasqa credenciales chaymanta mana seguro codigo ruwanakuna. Imaraykuchus AI modelokuna codigo yuyaychankuman yachachiy willaykunapi ruwasqa mana allinkunayuq, lluqsiyninku mana atisqa hina qhawasqa kanan tiyan chaymanta auditado kanan tiyan makiwan ruwasqa escaneo yanapakuykunawan willaykunata mana rikuchiyta hark'anapaq.
nisqa JWT Waqaychasqa: Riesgokuna Mana waqaychasqa Fichas kaqmanta chaymanta chinkasqa Reclamación Validación kaqmanta
nisqa ZXCVFIXVIBESEG2 nisqa JSON Web Tokens (JWTs) huk kamachiyta qun reclamacionkunata t'inkinapaq, ichaqa waqaychasqa sinchi chiqaqchaypi hapirin. Firmakuna, tukukuy pachakuna utaq munasqa uyariqkuna mana chiqaqchayqa atacadores chiqaqchayta utaq tokenkunata wakmanta pukllayta saqin.
nisqa Vercel mast'ariykunata waqaychay: Amachay chaymanta umalliq allin ruwaykuna
nisqa ZXCVFIXVIBESEG2 nisqa Kay maskayqa Vercel-qunchasqa ruwanakunapaq harkasqa ruwanakunata maskan, Mastariy Amachaypi chaymanta sapanchasqa HTTP umalliqkunapi t'inkisqa. Sut'inchan imayna kay ruwanakuna ñawpaq qhaway pachakunata waqaychan chaymanta maskaq-ladopi harkasqa kamachiykunata kamachin mana kamachisqa yaykuy chaymanta común web ataques hark'anapaq.
nisqa LibreNMS kaqpi (CVE-2024-51092) kaqpi OS kamachiy inyección critica kaqpi.
nisqa ZXCVFIXVIBESEG2 nisqa LibreNMS 24.9.1 kaqkama layakuna huk sinchi OS kamachiy inyección mana allin ruwayniyuq (CVE-2024-51092). Chiqaqchasqa atacadores munasqa kamachiykunata ruwayta atinku kay qutu sistema kaqpi, atiyniyuq tukuy pantayman pusaq kay qhaway infraestructura kaqmanta.
nisqa LiteLLM SQL Inyección proxy kaqpi API Llave Chiqaqchay (CVE-2026-42208)
nisqa ZXCVFIXVIBESEG2 nisqa LiteLLM 1.81.16 kaqmanta 1.83.6 kaqkama huk sinchi SQL inyección mana allin ruwayniyuq kanku kay Proxy API llave chiqaqchay lógica kaqpi. Kay pantasqa mana chiqaqchasqa atacadores chiqaqchay kamachiykunata muyuyta utaq ukhu willaypa tiyapuyninman yaykuyta saqin. Chay sasachakuyqa 1.83.7 kaqpi allichasqa kachkan.
nisqa Firebase Amachay kamachiykuna: Mana kamachisqa willayta rikuchiyta harkay
nisqa ZXCVFIXVIBESEG2 nisqa Firebase Amachay Kamachiykuna ñawpaq hark'ay kanku mana servidorniyuq ruwanakuna Firestore chaymanta Cloud Storage kaqwan. Mayk'aq kay kamachiykuna ancha saqisqa kanku, kayhina tukuypaq ñawiriy utaq qillqay yaykuyta ruruchiypi saqispa, atacadores munasqa ruwana lógica kaqmanta pasayta atinku suwanankupaq utaq sensibles willayta qullunankupaq. Kay maskayqa común pantasqa ruwanakunata maskan, ‘prueba modo’ ñawpaqmanta ruwasqakuna riesgokuna, chaymanta imayna identidad-based yaykuy kamachiyta ruwayta.
nisqa CSRF Amachay: Mana kamachisqa Estado tikraykunamanta harkakuy
nisqa ZXCVFIXVIBESEG2 nisqa Cross-Site Request Forgery (CSRF) huk hatun manchay web ruwanakunarayku qhipakuchkan. Kay maskayqa maskan imayna kunan pacha marcokuna Django hina harkayta ruwanku chaymanta imayna navegador-nivel atributokuna SameSite hina harkakuy-ukhupi qun mana kamachisqa mañakuykunamanta.
nisqa API Seguridad qhaway lista: 12 imakuna qhawanapaq manaraq kawsaqman richkaspa
nisqa ZXCVFIXVIBESEG2 nisqa APIkuna kunan pacha web ruwanakuna wasan kanku ichaqa sapa kuti mana kankuchu ñawpaq frontends kaqpa seguridad rigor kaqnin. Kay maskay qillqa huk lista comprobación esencial kaqmanta APIkuna waqaychasqa kananpaq riqsichin, yaykuy kamachiypi, tarifa limitacionpi chaymanta cruzada-origen recursokuna qunakuypi (CORS) willay pantaykunata chaymanta servicio abuso hark'anapaq.
nisqa API Llave fuga: Riesgokuna chaymanta allichay kunan pacha Web Apps kaqpi
nisqa ZXCVFIXVIBESEG2 nisqa Hard-codificado pakasqakuna frontend codigo utaq waqaychasqa historia kaqpi atacadores serviciokuna hina ruwayta, sapalla willaykunaman yaykuyta chaymanta qullqita quyta saqin. Kay qillqasqaqa pakasqa fugas nisqamanta riesgokunamantam rimachkan, chaynallataqmi chuyanchanapaq hinaspa harkanapaq imakuna ruwanamanta.
nisqa CORS Pantasqa wakichiy: Riesgokuna Llumpay Permisiva Kamachiykunamanta
nisqa ZXCVFIXVIBESEG2 nisqa Cross-Origin Resource Sharing (CORS) huk maskaq mecanismo ruwasqa Kikin-Origen Kamachiy (SOP) samachinapaq. Kunan web ruwanakunapaq necesario kaqtinpas, mana allin ruway —ahinataq mañakuqpa Origin umalliqnin eco ruway utaq ‘null’ origin kaqmanta yuraq lista ruway— mana allin sitiokuna sapalla ruwaqpa willayta exfiltrar ruwayta atin.
nisqa MVP kaqmanta waqaychasqa: AI-manta ruwasqa SaaS Apps kaqpi Willaypa fugasninmanta harkay
nisqa ZXCVFIXVIBESEG2 nisqa Utqaylla wiñasqa SaaS ruwanakuna sapa kuti sinchi harkakuy qhawaykunawan ñak'arinku. Kay maskayqa imayna pakasqakuna lluqsisqa chaymanta p'akisqa yaykuy kamachiykuna, ahinataq chinkasqa Fila Nivel Waqaychasqa (RLS), hatun-impacto mana allinkuna kunan pacha web pilakunapi ruwanku chayta maskan.